Mnogi od vas već zacijelo znaju za ozbiljnu obvezu iz naslova a koja proizlazi iz članka 35. GDPR-a, i jedna je od najozbiljnijih obveza koju određeni poslovni subjekti i organizacije moraju izvršiti prije početka pojedinih vrsta obrada osobnih podataka.
Nimalo bezazleno. A tko mora provesti DPIA?
U prvom redu, voditelji obrada. Izvršitelji obrada nisu obveznici.
Drugo, voditelji obrada koji vrše obrade za koje je VJEROJATNO da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca.
Konkretnije, DPIA je osobito obvezna u slučaju:
(a) sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;
(b) opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. GDPR-a ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR-a; ili
(c) sustavnog praćenja javno dostupnog područja u velikoj mjeri.
A potpuno konkretno, AZOP je ažurirao popis konkretnih obrada za koje je provođenje DPIA OBVEZNO; uz naznaku da taj popis nije ograničavajući ili isključiv budući da je provođenje procjene učinka na zaštitu podataka uvijek potrebno ako su ispunjeni uvjeti iz članka 35. stavka 1.
Da stvar bude još malo kompleksnija, AZOP je 25.05.2018. objavio Odluku o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka, da bi je u prosincu 2018. godinu izmijenio i nadopunio, te ista glasi ovako:
1) Obrada osobnih podataka radi sustavnog i opsežnog profiliranja ili automatiziranog odlučivanja kako bi se donijeli zaključci koji u značajnoj mjeri utječu ili mogu utjecati na pojedinca i/ili više osoba ili koji služe kao pomoć u donošenju odluka o nečijem pristupu nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada osobnih podataka odnosnih na ekonomski ili financijski status, zdravlje, osobne preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.);
2) Obrada posebnih kategorija osobnih podataka u svrhu profiliranja ili automatiziranog odlučivanja;
3) Obrada osobnih podataka djece u svrhu profiliranja ili automatiziranog odlučivanja ili za marketinške svrhe, ili za izravnu ponudu usluga namijenjenu njima;
4) Obrada osobnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga fizičkim osobama;
5) Obrada posebnih kategorija osobnih podataka ili osobnih podataka o kaznenoj ili prekršajnoj odgovornosti u velikom opsegu;
6) Obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu;
7) Uporaba novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba;
8 ) Obrada biometrijskih podataka kad je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;
9) Obrada genetskih podataka kad je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;
10) Obrada osobnih podataka povezivanjem, usporedbom ili provjerom podudarnosti iz više izvora;
11) Obrada osobnih podataka na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sustavne obrade komunikacijskih podataka (metapodaci) nastalih uporabom telefona, interneta ili drugih komunikacijskih kanala, kao što je GSM, GPS, Wi Fi, praćenje ili obrada podataka o lokaciji;
12) Obrada osobnih podataka korištenjem uređaja i tehnologija kod kojih incidentni događaj može ugroziti zdravlje pojedinca ili više osoba;
13) Obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.).
Pronalazite li se ovdje?
Obveza provođenja Procjene učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment)
Napisao/la BI CONSULT